25 RODO a prawa strony albo administratora w praktyce prawnej
Rozporządzenie o Ochronie Danych Osobowych (RODO) zrewolucjonizowało sposób, w jaki podmioty gospodarcze oraz organy administracji publicznej podchodzą do kwestii prywatności. Jednym z najbardziej doniosłych, a zarazem najbardziej wymagających wdrożeniowo przepisów tego aktu prawnego jest art. 25 RODO. Przepis ten wprowadza dwie kluczowe zasady: ochronę danych w fazie projektowania (privacy by design) oraz domyślną ochronę danych (privacy by default). Choć na pierwszy rzut oka regulacja ta ma charakter czysto techniczny i organizacyjny, w praktyce prawnej generuje ona szereg uprawnień po stronie osób, których dane dotyczą (stron), oraz nakłada rygorystyczne obowiązki na administratorów danych osobowych.
Teza publikacji: Praktyczny wymiar art. 25 RODO
Artykuł 25 RODO nie jest jedynie abstrakcyjną deklaracją programową. Stanowi on bezpośrednie źródło obowiązków prawnych dla każdego administratora oraz potężne narzędzie w rękach osób fizycznych dochodzących swoich praw. W praktyce sporów przed organem nadzorczym, jakim w Polsce jest Prezes Urzędu Ochrony Danych Osobowych (PUODO), wykazanie naruszenia zasad privacy by design lub privacy by default może przesądzić o nałożeniu dotkliwej kary finansowej na administratora lub nakazaniu mu dostosowania operacji przetwarzania do obowiązujących przepisów. Dla strony postępowania przepis ten stanowi fundament do żądania, aby systemy informatyczne i procedury wewnętrzne były projektowane z myślą o jej bezpieczeństwie.
Na czym polega problem? Privacy by Design i Privacy by Default
Głównym wyzwaniem związanym z interpretacją i stosowaniem art. 25 RODO jest jego wysoki stopień ogólności oraz konieczność ciągłego balansowania między postępem technologicznym, kosztami wdrożenia a poziomem ryzyka dla praw i wolności osób fizycznych. Problem ten ujawnia się szczególnie w momencie projektowania nowych systemów IT, aplikacji mobilnych, platform e-commerce czy systemów rejestracji pacjentów.
Zasada ochrony danych w fazie projektowania (Privacy by Design)
Zgodnie z art. 25 ust. 1 RODO, administrator ma obowiązek wdrożyć odpowiednie środki techniczne i organizacyjne (takie jak np. pseudonimizacja) już na etapie określania sposobów przetwarzania (czyli planowania i projektowania systemu) oraz w fazie samego przetwarzania. Środki te muszą być zaprojektowane w taki sposób, aby skutecznie realizować zasady ochrony danych, takie jak minimalizacja danych, oraz zapewniać niezbędne zabezpieczenia. Administrator musi przy tym uwzględnić:
- stan wiedzy technicznej (najnowsze osiągnięcia technologiczne),
- koszty wdrażania,
- charakter, zakres, kontekst i cele przetwarzania,
- ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze.
Zasada domyślnej ochrony danych (Privacy by Default)
Z kolei art. 25 ust. 2 RODO nakłada na administratora obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do:
- ilości zbieranych danych,
- zakresu ich przetwarzania,
- okresu ich przechowywania,
- ich dostępności (dane nie mogą być domyślnie udostępniane nieograniczonej liczbie osób bez interwencji użytkownika).
W praktyce oznacza to, że użytkownik korzystający z danej usługi nie powinien być zmuszany do samodzielnego zmieniania ustawień prywatności na bardziej rygorystyczne – system od samego początku musi gwarantować mu maksymalną ochronę.
Kogo dotyczy art. 25 RODO? Strona vs. Administrator
Regulacja ta dotyczy bezpośrednio dwóch głównych podmiotów obrotu prawnego:
- Administratora danych osobowych (ADO): Może to być przedsiębiorca, instytucja publiczna, szpital, bank czy stowarzyszenie. Na ADO spoczywa pełna odpowiedzialność za wykazanie (zgodnie z zasadą rozliczalności z art. 5 ust. 2 RODO), że wdrożył odpowiednie środki techniczne i organizacyjne spełniające wymogi art. 25 RODO.
- Strony (osoby, której dane dotyczą): Osoba fizyczna, której dane są przetwarzane. Strona ma prawo oczekiwać, że jej dane są bezpieczne, a systemy, z których korzysta, nie wymuszają na niej podawania nadmiarowych informacji ani nie udostępniają ich publicznie bez jej wyraźnej woli. W przypadku naruszenia tych zasad, strona może złożyć stosowny wniosek lub skargę do organu nadzorczego.
Podstawa prawna i mechanizm działania w praktyce
W praktyce sporów prawnych art. 25 RODO rzadko występuje samodzielnie. Najczęściej jest on powoływany w powiązaniu z art. 5 RODO (zasady przetwarzania danych, w tym minimalizacja i integralność) oraz art. 32 RODO (bezpieczeństwo przetwarzania). Mechanizm działania tego przepisu opiera się na tzw. podejściu opartym na ryzyku (risk-based approach). Administrator nie może tłumaczyć się brakiem środków finansowych, jeśli ryzyko dla praw i wolności użytkowników jest wysokie, a na rynku istnieją powszechnie dostępne i tanie rozwiązania zabezpieczające.
Jeśli strona wykaże, że np. aplikacja mobilna banku domyślnie wymaga dostępu do kontaktów i lokalizacji, mimo że nie jest to niezbędne do wykonania usługi płatniczej, dochodzi do bezpośredniego naruszenia art. 25 ust. 2 RODO. W takim przypadku ciężar dowodu zostaje przerzucony na administratora, który musi wykazać, dlaczego takie ustawienia domyślne zostały zastosowane i czy były one konieczne.
Obowiązki administratora: Jak spełnić wymogi prawa?
Aby uniknąć zarzutu naruszenia art. 25 RODO, administrator musi podjąć szereg działań o charakterze prawno-organizacyjnym oraz technologicznym. Do najważniejszych obowiązków należą:
- Przeprowadzenie oceny skutków dla ochrony danych (DPIA): Choć DPIA jest regulowane przez art. 35 RODO, jest ono kluczowym narzędziem realizacji zasady privacy by design. Pozwala zidentyfikować ryzyka na etapie projektowania systemu.
- Wdrożenie minimalizacji danych: Projektowanie formularzy rejestracyjnych tak, aby zbierały tylko te dane, bez których usługa nie może zostać zrealizowana.
- Zastosowanie technik maskowania i pseudonimizacji: Ograniczenie widoczności danych dla personelu, który nie potrzebuje pełnego dostępu do realizacji swoich zadań.
- Zapewnienie retencji danych: Automatyczne usuwanie lub anonimizacja danych po upływie określonego terminu przechowywania.
- Domyślne ustawienia prywatności: Konfiguracja systemów IT w taki sposób, aby profile użytkowników były domyślnie prywatne, a zgody marketingowe nie były zaznaczone (brak tzw. pre-ticked boxes).
Uprawnienia strony i narzędzia wpływu: Wniosek i skarga
Osoba, której dane dotyczą, nie jest bezbronna wobec zaniedbań administratora. Przysługuje jej szereg uprawnień procesowych:
1. Wniosek o udzielenie informacji i dostosowanie systemów
Strona może skierować do administratora oficjalny wniosek z zapytaniem, jakie środki techniczne i organizacyjne zostały wdrożone w celu realizacji zasad z art. 25 RODO. Może również zażądać zmiany domyślnych ustawień swojego konta lub ograniczenia przetwarzania danych, które uważa za nadmiarowe.
2. Skarga do organu nadzorczego (PUODO)
W przypadku braku satysfakcjonującej odpowiedzi ze strony administratora, strona ma prawo złożyć skargę do organu nadzorczego. W treści skargi należy precyzyjnie wskazać, na czym polega uchybienie (np. brak możliwości korzystania z usługi bez wyrażenia zgody na profilowanie, co narusza zasadę privacy by default).
Rola organu nadzorczego (PUODO) i terminy w postępowaniu
Prezes Urzędu Ochrony Danych Osobowych jako organ nadzorczy bada, czy administrator dopełnił obowiązków wynikających z art. 25 RODO. W toku postępowania organ może żądać od administratora przedstawienia dokumentacji projektowej, analiz ryzyka oraz dowodów na testowanie wdrożonych zabezpieczeń.
W kontekście terminów należy pamiętać o kilku kluczowych aspektach:
- Termin na wdrożenie: Obowiązek z art. 25 RODO ma charakter ciągły. Środki muszą być wdrożone przed rozpoczęciem przetwarzania i utrzymywane przez cały czas jego trwania.
- Termin na odpowiedź na wniosek strony: Administrator ma obowiązek odpowiedzieć na wniosek strony bez zbędnej zwłoki, a w każdym razie w terminie miesiąca od otrzymania żądania. W skomplikowanych przypadkach termin ten może zostać przedłużony o kolejne dwa miesiące, o czym należy powiadomić stronę.
- Termin przed organem: Postępowanie przed PUODO toczy się według przepisów Kodeksu postępowania administracyjnego, co oznacza, że organ powinien załatwić sprawę bez zbędnej zwłoki, co do zasady w terminie miesiąca, a w sprawach szczególnie skomplikowanych – dwóch miesięcy.
Procedura wdrożenia zasad z art. 25 RODO krok po kroku
Dla administratorów, którzy chcą prawidłowo zrealizować wymogi art. 25 RODO, rekomenduje się przejście przez następującą procedurę:
- Krok 1: Powołanie zespołu interdyscyplinarnego. W procesie projektowania systemu muszą uczestniczyć nie tylko programiści i architekci IT, ale również Inspektor Ochrony Danych (IOD) oraz prawnicy specjalizujący się w ochronie danych osobowych.
- Krok 2: Analiza wymagań i celów przetwarzania. Dokładne określenie, jakie dane są niezbędne do realizacji celu biznesowego lub publicznego.
- Krok 3: Analiza ryzyka (Risk Assessment). Identyfikacja potencjalnych zagrożeń dla prywatności użytkowników (np. wyciek danych, nieuprawniony dostęp).
- Krok 4: Projektowanie zabezpieczeń. Wprowadzenie do specyfikacji technicznej wymagań dotyczących szyfrowania, pseudonimizacji, kontroli dostępu oraz automatycznego usuwania danych po upływie terminu ich przechowywania.
- Krok 5: Testowanie i audyt. Przed wdrożeniem produkcyjnym należy przeprowadzić testy bezpieczeństwa oraz audyt zgodności z RODO.
- Krok 6: Dokumentacja i rozliczalność. Sporządzenie raportu z wdrożenia zasad privacy by design i privacy by default, który będzie stanowił dowód dla organu nadzorczego w przypadku kontroli.
Najczęstsze błędy popełniane przez administratorów
W praktyce kontrolnej PUODO oraz w sporach sądowych najczęściej ujawniają się następujące błędy popełniane przez administratorów:
- Ignorowanie prywatności na etapie zakupów: Kupowanie gotowych systemów IT od dostawców zewnętrznych bez weryfikacji, czy spełniają one wymogi art. 25 RODO (tzw. brak audytu łańcucha dostaw).
- Zasada „zbierzmy wszystko, potem się pomyśli”: Projektowanie baz danych z nadmiarowymi polami, które nie są konieczne do realizacji usługi.
- Skomplikowane panele zarządzania prywatnością: Ukrywanie opcji wyłączenia śledzenia lub profilowania głęboko w ustawieniach aplikacji, co bezpośrednio narusza zasadę privacy by default.
- Brak aktualizacji zabezpieczeń: Zapominanie, że „stan wiedzy technicznej” się zmienia. Zabezpieczenia, które były wystarczające w 2018 roku, mogą być nieskuteczne dzisiaj.
Przykład praktyczny: Wdrożenie systemu rejestracji pacjentów w placówce medycznej
Wyobraźmy sobie przychodnię lekarską, która wdraża nowy system internetowej rejestracji pacjentów. Jak w tym przypadku powinny zadziałać zasady z art. 25 RODO?
Złe podejście (naruszenie art. 25 RODO): Podczas rejestracji system domyślnie wymaga podania numeru PESEL, adresu zamieszkania, numeru telefonu oraz zaznaczenia zgody na przesyłanie newslettera medycznego. Wszystkie te pola są obowiązkowe, a zgoda marketingowa jest domyślnie zaznaczona. Dane pacjentów są widoczne dla każdego pracownika przychodni, w tym personelu technicznego.
Prawidłowe podejście (zgodne z art. 25 RODO): Na etapie projektowania systemu (privacy by design) przychodnia decyduje, że do samej rezerwacji terminu wystarczy imię, nazwisko i adres e-mail lub telefon. Numer PESEL jest pobierany dopiero podczas osobistej wizyty w placówce w celu weryfikacji tożsamości. Zgoda na newsletter jest całkowicie dobrowolna i domyślnie odznaczona (privacy by default). Dostęp do danych medycznych pacjenta jest ściśle ograniczony wyłącznie do lekarza prowadzącego i upoważnionej pielęgniarki, a system automatycznie rejestruje każdą próbę odczytu danych (pełna rozliczalność).
Skutki prawne i finansowe uchybień
Naruszenie obowiązków wynikających z art. 25 RODO niesie za sobą poważne konsekwencje. Zgodnie z art. 83 ust. 4 lit. a RODO, naruszenie tego artykułu podlega administracyjnej karze pieniężnej w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.
Poza karami finansowymi, organ nadzorczy może nałożyć na administratora szereg środków naprawczych, takich jak:
- nakaz dostosowania operacji przetwarzania do przepisów RODO w określonym terminie,
- wprowadzenie czasowego lub całkowitego ograniczenia przetwarzania danych (co może sparaliżować działalność firmy),
- nakaz poinformowania osób, których dane dotyczą, o naruszeniu.
Dla strony, której prawa zostały naruszone, otwiera się również droga do dochodzenia odszkodowania przed sądem cywilnym na podstawie art. 82 RODO za szkodę majątkową lub niemajątkową (krzywdę) wynikłą z naruszenia rozporządzenia.
Podsumowanie i rekomendacje dla praktyków
Artykuł 25 RODO to kluczowy element nowoczesnego podejścia do ochrony prywatności. Wymaga on od administratorów porzucenia reaktywnego podejścia do bezpieczeństwa danych na rzecz podejścia proaktywnego i prewencyjnego. Ochrona danych musi być wpisana w kod źródłowy systemów informatycznych oraz w codzienne procedury biznesowe.
Dla prawników reprezentujących strony, art. 25 RODO stanowi potężny argument w sporach z dużymi korporacjami i instytucjami publicznymi, które często zaniedbują domyślne ustawienia prywatności. Z kolei dla administratorów, rzetelne podejście do privacy by design i privacy by default to nie tylko sposób na uniknięcie kar od PUODO, ale także budowanie wizerunku podmiotu godnego zaufania w cyfrowym świecie.